BLOG.ERREVI.COM

#1 TIP: Effettuare un’analisi dei rischi

La storia ci insegna che dal nostro passato possiamo trarre validi consigli per il nostro futuro: analizzando le cause delle principali perdite di dati possiamo quindi impostare una strategia per tutelarci.

Le cause che possono portare a una perdita di dati sono molteplici: errori umani, problemi tecnici (hardware o software), attacchi informatici (interni o esterni), problemi ambientali come catastrofi naturali o anche incidenti o azioni di origine dolosa.

Prova il calcolatore RPO e RTO:
calcola i tuoi tempi e costi di recovery

Effettuare un’analisi dei rischi ci permetterà di conoscere le minacce più frequenti per il nostro settore e più probabili per la nostra realtà e di individuare le vulnerabilità specifiche della nostra azienda.

Per prevenire dobbiamo conoscere i nostri punti deboli per poi, in caso di necessità, saper come correre ai ripari. In quest’ottica è fondamentale che sia una terza parte ad effettuare l’analisi ed è importante diversificare i fornitori, attuando la cosiddetta Segregation of Duties (ossia “separazione dei compiti”), la quale si basa sul principio che chi ha progettato il nostro piano di protezione potrebbe non essere in grado di identificarne eventuali falle.

Oltre a identificare i nostri punti deboli, l’analisi ci permette anche di mappare i processi e stabilire le priorità definendo le attività che hanno rilevanza strategica in termini di Business Continuity. Potremo chiarire il valore dei nostri dati e quanto costa in termini di produttività perderli o non potervi accedere per un determinato periodo di tempo. Saremo in grado inoltre di quantificare quanto incide ogni disservizio sulla qualità offerta ai clienti.

Con questi dati sarà molto più semplice sensibilizzare il resto dell’azienda e definire quanto investire in protezione.

#2 TIP: creare una nuova cultura aziendale e rendere i colleghi consapevoli per limitare gli errori umani

Se è vero che la tecnologia è ormai pervasiva nella vita aziendale ed è una parte fondamentale di tutti i processi, è altrettanto vero che le risorse umane sono da sempre l’elemento centrale per la competitività: a parità di tecnologie è infatti la creatività dell’uomo a fare da differenziante e nuove figure professionali come il Chief Philosophy Officer stanno facendo il loro ingresso nelle aziende più all’avanguardia.

Al contempo però il fattore umano rappresenta sempre più spesso l’anello debole nel processo tecnologico e la causa principale delle violazioni dei dati. Alcune stime arrivano persino a imputare al fattore umano il 95% degli incidenti informatici con perdita di dati.

La DPA non dipende solo dai sistemi, ma anche dai processi. Ne consegue che le persone debbano assumere consapevolezza e che non sia possibile fare prevenzione soltanto acquistando un prodotto: è necessario che la protezione dei dati divenga a sua volta un processo aziendale e che coinvolga tutte le persone.

La Direzione deve comprendere la necessità di diffondere dal vertice una nuova cultura aziendale e l’ufficio Risorse Umane deve essere un nostro valido alleato per impostare un piano di formazione a tutti i livelli aziendali. Nondimeno, tutti i responsabili dei diversi reparti devono necessariamente essere chiamati a collaborare al fine di  integrare i vari processi.

#3 TIP: definire una politica di DPA completa

Abbiamo ottenuto consapevolezza dei rischi e diffuso una cultura aziendale orientata alla protezione dei dati: è ora il momento di scendere in campo e applicare una politica di DPA completa.

Quali sono le caratteristiche di una politica adeguata di protezione dei dati?

Una politica di Data Protection & Availability può ritenersi completa quando è in grado di garantire integrità, riservatezza e disponibilità dei dati e, al contempo, quando prevede sia attività di prevenzione, sia attività di reazione.

Per quanto possiamo tutelarci, un incidente/attacco/disastro naturale è sempre possibile e dobbiamo essere pronti a reagire.

Ma cosa si intende esattamente con integrità, riservatezza e disponibilità?

Garantire l’integrità dei dati significa tutelarli da modifiche o cancellazioni siano esse involontarie, dolose o legate a malfunzionamenti tecnici. È fondamentale mettere in atto policy in grado di tutelare anche i dati in transito con soluzioni di autenticazione, cifratura, controllo accessi e firma digitale.

Garantire la riservatezza dei dati significa avere il controllo e la gestione delle modalità di accesso e utilizzo. Occorre un piano integrato che preveda soluzioni di sicurezza perimetrale, antimalware, data loss prevention, cifratura end-to-end interna ed esterna.

Garantire la disponibilità dei dati significa invece permettere ai soggetti autorizzati di accedere ai dati di cui hanno bisogno, ogni volta in cui ne hanno bisogno e senza disservizi. Per rendere concreta questa definizione, occorre definire le esigenze in termini di RPO (Recovery Point Objective) e RTO (Recovery Time Objective), ossia quanti dati il soggetto specifico può permettersi di perdere e per quanto tempo può restare senza potervi accedere.

L’analisi dei rischi consigliata in precedenza dovrebbe fornirci queste informazioni, sulla base delle quali potremo definire il nostro Data Protection & Availability Plan.

Abbiamo quindi compreso che integrità, riservatezza e disponibilità dei dati sono tre concetti strettamente interconnessi e un piano adeguato e completo di Data Protection & Availability deve tenerli tutti in considerazione.